🔄 Threat Intelligence Lifecycle

Цикл управления киберразведкой для проактивной защиты

📋
Direction & Planning
🔍
Collection
⚙️
Processing
🧪
Analysis
📢
Dissemination
💬
Feedback

📋 Direction & Planning

Определение требований и приоритетов для сбора разведданных

  • Идентификация критических активов
  • Определение угроз для бизнеса
  • Установка приоритетов сбора
  • Формирование PIR (Priority Intelligence Requirements)
  • Выделение ресурсов и бюджета

🔍 Collection

Сбор данных из различных источников разведки

  • OSINT - открытые источники
  • HUMINT - человеческая разведка
  • SIGINT - сигнальная разведка
  • Dark Web мониторинг
  • Threat feeds и sharing platforms

⚙️ Processing

Обработка и нормализация собранных данных

  • Валидация источников
  • Дедупликация информации
  • Нормализация форматов
  • Обогащение контекстом
  • Структурирование данных

🧪 Analysis

Анализ и создание actionable intelligence

  • Корреляция событий
  • Атрибуция угроз
  • TTP mapping (MITRE ATT&CK)
  • Risk assessment
  • Прогнозирование угроз

📢 Dissemination

Распространение разведданных заинтересованным сторонам

  • Создание отчетов для руководства
  • Технические IOC для SOC
  • Threat bulletins
  • STIX/TAXII sharing
  • Интеграция с security tools

💬 Feedback

Оценка эффективности и улучшение процесса

  • Метрики эффективности
  • Обратная связь от stakeholders
  • Lessons learned
  • Корректировка приоритетов
  • Улучшение процессов

📡 Collection Sources

🌐 OSINT Sources
Security blogs & research
Social media monitoring
Paste sites (Pastebin)
Public vulnerabilities (CVE)
DNS & Certificate data
🌑 Dark Web
Underground forums
Marketplace monitoring
Leaked credentials
Threat actor communications
Exploit trading
🤝 Commercial Feeds
Recorded Future
ThreatConnect
Anomali
Digital Shadows
Flashpoint
🏛️ Government & ISACs
US-CERT/CISA
FBI Flash Alerts
FS-ISAC
H-ISAC
MS-ISAC
🔧 Technical Sources
Honeypots & Honeynets
Malware sandboxes
Network telemetry
Endpoint detection
Email gateway logs
👥 Community
MISP instances
AlienVault OTX
Threat sharing groups
Security conferences
Vendor research

🛠️ TI Platform Comparison

MISP
  • Open-source platform
  • Flexible data model
  • Community sharing
  • STIX/TAXII support
  • Correlation engine
  • API integration
ThreatConnect
  • Enterprise TIP
  • Playbook automation
  • CAL™ analytics
  • Threat intelligence ops
  • Risk quantification
  • Orchestration
Anomali ThreatStream
  • Threat intelligence management
  • Automated collection
  • Risk scoring
  • Integration hub
  • Threat investigation
  • Intelligence fusion
Recorded Future
  • Real-time threat intel
  • Machine learning
  • Risk scores
  • Dark web monitoring
  • Brand protection
  • Third-party risk
CrowdStrike Falcon Intel
  • Adversary intelligence
  • Threat actor tracking
  • Malware analysis
  • Indicator management
  • Custom reporting
  • API access
IBM X-Force
  • Threat research
  • Vulnerability database
  • Incident response
  • Threat sharing
  • Industry reports
  • Premium intel

🎯 CTI Frameworks

💎 Diamond Model

Модель для анализа кибератак через взаимосвязь четырех основных элементов

Adversary
Capability
Infrastructure
Victim

⚔️ Cyber Kill Chain®

7-ступенчатая модель описания этапов кибератаки от Lockheed Martin

Reconnaissance
Weaponization
Delivery
Exploitation
Installation
C2
Actions

🎭 MITRE ATT&CK

База знаний о тактиках и техниках злоумышленников

14 Tactics
200+ Techniques
600+ Sub-techniques
130+ Groups

📐 F3EAD

Циклический процесс targeting операций

Find
Fix
Finish
Exploit
Analyze
Disseminate